Engana-se quem acredita que os ataques usando spam são algo do passado. O relatório anual de cibersegurança Cisco 2017, divulgado nesta terça-feira (31/01), aponta que 65% dos e-mails das empresas entrevistadas referem-se a spams, mas apenas entre 8% e 10% deles são maliciosos e representam ameaças.    O relatório aponta que a porcentagem de spam com anexos maliciosos está aumentando e sugere que os criminosos estejam experimentando vários tipos de arquivos para ajudar suas campanhas a serem bem-sucedidas. O volume global de spam está crescendo, diz a Cisco, devido principalmente ao grande e próspero envio de spams por botnets como Necurs. Necurs é um vetor primário para ransomware Locky. Ele também distribui ameaças como o trojan de banco da Dridex. De fato, durante algum tempo os spams pararam de ser grande dor de cabeça para as empresas, principalmente porque elas atacaram o problema implantando ferramentas, mas, com a redução no número de spams, houve também diminuição na adoção de software antispam e os ataques voltaram com tudo, explicou Ghassan Dreibi, gerente de desenvolvimento de negócios de segurança da Cisco América Latina, em coletiva de imprensa.  Muitos dos IPs host que enviaram spam Necurs foram infectados há mais de dois anos. Para ajudar a manter o escopo completo da botnet escondida, o Necurs enviará spam apenas para um subconjunto de hosts infectados. Um hospedeiro infectado pode ser usado por dois a três dias e depois fica sem enviar por duas a três semanas, um comportamento que complica o trabalho da área de segurança.   Além disto, os criminosos estão fazendo uso de arquivos de diversos tipos, como .docm, JavaScript, .wsf e .hta, para impedir que os spams maliciosos sejam detectados. Já Necurs envia anexos maliciosos com arquivos executáveis como JavaScript, .hta, .wsf, e VBScript. Outra técnica que tem dificultado o trabalho de detecção e prevenção é o ataque snowshoe, no qual são enviados poucos spams por vez. “Um dos principais métodos para detecção de spam é a volumetria. Com envio de poucos (ainda assim milhares) de spams por IP fica mais difícil identificar. Leva mais tempo e o ataque se dá nesta brecha de tempo”, explica Marcelo Bezerra, gerente de engenharia de segurança da Cisco América Latina. Além do snowshoe, os ataques do tipo hailstorm também são problemáticos, porque eles miram os sistemas antispam systems. Os operadores por trás deste tipo de ataque tiram vantagem da pequena janela de tempo entre o momento que a campanha de spam é lançada e a detecção pelo sistema antispam. São segundos ou minutos até o bloqueio.